Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Lecciones aprendidas del frente de batalla cibernética
En nuestra experiencia atendiendo incidentes cibernéticos, el proceso siempre culmina con una reunión para analizar las lecciones aprendidas. Sin lugar a dudas, 2024 ha sido un año con un incremento notable en la cantidad y complejidad de estos incidentes. Por ello, este artículo busca recopilar las principales lecciones aprendidas que las organizaciones deberían tener en cuenta para enfrentar los desafíos de 2025.
Ransomware como protagonista
El tipo de ataque predominante en 2024 ha sido el ransomware, particularmente en modalidades de doble y triple extorsión. Las principales lecciones aprendidas en este contexto giran en torno a cuatro aspectos clave: el vector de inicio, los métodos de persistencia, los movimientos laterales y el comando y control.
1. Cómo inició el ataque
El análisis revela que el phishing sigue siendo el principal vector de ataque. Esta técnica permite a los atacantes engañar a empleados o terceros con acceso a la red para ejecutar acciones maliciosas, como instalar malware o establecer conexiones remotas.
Sin embargo, durante 2024 se ha observado un aumento en el uso de herramientas empresariales comunes como las VPN y los servicios de acceso remoto. Los atacantes explotan credenciales expuestas, la falta de cambios periódicos de contraseñas, la ausencia de autenticación multifactorial o vulnerabilidades conocidas en estas plataformas. Una vez dentro, los atacantes son difíciles de detectar, ya que utilizan credenciales legítimas con comportamientos aparentemente normales.
2. Cómo se mantienen en la red
Los atacantes emplean técnicas de persistencia para asegurarse un acceso continuo a los sistemas comprometidos, incluso después de reinicios o medidas defensivas. Entre los métodos más comunes destacan la programación de tareas automáticas, la habilitación de servicios maliciosos y la creación de usuarios administrativos.
Una lección clave de 2024 es la importancia de gestionar las identidades dentro de la red. Detectar rápidamente la creación de usuarios sospechosos o actividades inusuales asociadas con cuentas privilegiadas puede marcar la diferencia para prevenir el movimiento continuo de los atacantes.
3. Cómo se mueven sin ser detectados
El movimiento lateral y la elevación de privilegios son dos técnicas esenciales para los atacantes. En el primer caso, comprometen cuentas de usuarios válidos para acceder a múltiples sistemas, simulando comportamientos normales. En el segundo, aprovechan configuraciones incorrectas o permisos excesivos en equipos para adquirir privilegios administrativos.
Es fundamental revisar configuraciones para evitar que cuentas de usuarios tradicionales tengan permisos innecesarios, así como monitorear el uso de herramientas como escritorios remotos y servicios de TI.
4. Control externo: comando y control
El comando y control se refiere al mecanismo mediante el cual los atacantes gestionan las máquinas comprometidas desde fuera de la red. Por ejemplo, pueden enviar una orden para cifrar datos en todos los dispositivos infectados mediante señales a servidores externos, camufladas en tráfico web o incluso en mensajes de aplicaciones como WhatsApp o Telegram.
La detección de tráfico hacia direcciones IP externas sospechosas, especialmente con comunicaciones de bajo volumen pero frecuentes, debe ser una prioridad en las estrategias de monitoreo.
Lecciones para 2025
Basándonos en los aprendizajes de 2024, estas son las acciones clave que las organizaciones deben implementar:
- Minimizar los privilegios: Ningún dispositivo debe ser utilizado con cuentas de altos privilegios de forma rutinaria. Esto dificulta las actividades maliciosas de los atacantes y reduce el impacto de un compromiso.
- Monitorear la creación de usuarios: Incluso cuando se siga un procedimiento aprobado, toda creación de usuarios debe ser considerada una actividad crítica a monitorear.
- Conocer los servicios internos de la red: Entender el comportamiento normal de los servicios permite detectar anomalías, como conexiones fuera de horario o usos atípicos de escritorios remotos.
- Detectar tráfico anómalo hacia IP externas: Establecer alertas para identificar patrones sospechosos en las comunicaciones de red.
- Gestión y monitoreo de usuarios privilegiados: Identificar las actividades regulares de cuentas con altos privilegios y monitorear cambios inusuales es esencial para prevenir y responder eficazmente a incidentes.
Finalmente, es importante destacar que ningún sistema de monitoreo es infalible. Por ello, las organizaciones deben estar preparadas para responder ante incidentes, definiendo roles y responsabilidades claras dentro del equipo de respuesta. Como dijo Sun Tzu en El arte de la guerra,
Conócete a ti mismo y conoce a tu enemigo, y ganarás mil batallas.
